Viel Kritik an Microsofts Plänen für eine "Digitale Genfer Konvention"
Es ist Zeit für eine Genfer Konvention für mehr Sicherheit im Netz, findet Microsoft und will damit unter anderem den weltweiten Run auf Sicherheitslücken eindämmen. Geht es nicht eine Nummer kleiner, fragen Diplomaten und Techniker.
Microsoft hat auf dem 12. Internet Governance Forum (IGF) einiges an Kritik für den Vorschlag einer Digitalen Genfer Konvention geerntet. Paul Nicholas wiederholte damit den Vorschlag von Microsoft-Präsident Brad Smith und forderte, insbesondere das Wettrennen um Schwachstellen müsse geächtet werden. Hauptproblem der im Frühjahr von dem US-Konzern vorgestellten Initiative ist laut einem Vertreter der Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE) jedoch die mögliche Abneigung der Regierungen, sich einem entsprechenden Regelwerk zu unterwerfen.
Nicholas erläuterte, dass gerade die hoch kommerzialisierte Jagd nach Software-Schwachstellen Microsoft dazu veranlasst hätte, die Initiative zu starten. Wenn Unternehmen Produkte veröffentlichten, stürze sich eine ganze Heerschar von Experten darauf und suche nach Schwachstellen. "Früher konnten wir mit den Security-Experten zusammenarbeiten, heute stehen wir in einem extremen Wettbewerb um ihre Ergebnisse." Regierungen hätten durch ihr Verhalten diesen Markt befeuert. Nicholas mahnte, mit zunehmender Verknüpfung und Verbindung von Geräten und Dingen nehme der Angriffsvektor weiter zu.
Schluss mit der Jagd nach Zero-Days
Kein Ankauf von Schwachstellen, keine Backdoor-Verpflichtungen, und die Unterstützung und Stärkung unabhängier Certs stehen unter anderem in Microsofts Kernpunkten für die Konvention. Darüber hinaus sollten Staaten sich verpflichten, auf die Entwicklung offensiver Cyberwaffen zu verzichten und deren Verbreitung zu verhindern – eine Art Cyber-Nonproliferations-Vertrag, wie ihn auch die deutsche Piratenpartei schon gefordert hat.
Kritik meldete von Regierungsseite Tobias Feakin, Botschafter für Cyber Affairs des australischen Außen- und Handelsministeriums an: Die Regierungen arbeiteten bereits selbst an Regeln. Die unter dem Dach der Vereinten Nationen tagende Expertengruppe der Regierungen (Governmental Expert Group, GGE) habe sich zwar dieses Jahr nicht auf weitere Schritte einigen können, habe aber 2015 11 Prinzipien für verantwortungsvolles Verhalten von Regierungen im Cyberspace verabschiedet. Das verantwortungsvolle Reporting von Schwachstellen haben die Regierungen da schon einmal aufgeschrieben. Feakin warnte vor übertriebenen Hoffnungen auf eine Konvention.
"Das kann bedeuten, dass man Jahrzehnte lang diskutiert und, wenn wir fertig sind, ist die Technologie über die Normen hinweg gegangen. Und während der ganzen Zeit können Angreifer bestehende Grauzonen ausnutzen." Effektiver ist es, so der Australier, wenn Regierungen – und zwar alle – sich an die ersten entwickelten Normen hielten und diese weiter entwickelten.
Fix the protocols!
Auch von technischer Seite kam eine vorsichtige Kritik. Die Idee einer unabhängigen Institution, die nach großen Attacken untersucht, ob ein staatlicher Akteur beteiligt war, hält Andrew Sullivan, ehemaliger Vorsitzender des Internet Architecture Board, für wenig sinnvoll. Den Vorschlag, die Certs damit zu betrauen, geradezu gefährlich, da damit eine Politisierung dieser "Erste-Hilfe-Truppen" einhergehen könnte.
Natürlich wäre es schön, wenn Regierungen sich zu Wohlverhalten im Cyberspace verpflichteten, sagte Sullivan, dessen Firma Dyn (heute Oracle) Opfer der Mirai-Attacke war. Das Kernproblem aus Sicht der Netzwerkbetreiber, so Sullivan, seien Schwächen eines Systems, auf das die Welt zunehmend angewiesen sei. "Es ist ein Designproblem und man muss die Protokolle reparieren", die technischen, wohlgemerkt, nicht die politischen. Microsoft will den offenen Dialog über die Konvention im nächsten Jahr trotzdem intensivieren. (mho)